Seguritecnia 378

SEGURITECNIA Septiembre 2011 61 Protección de Infraestructuras Críticas no. En el caso de que esta persona pase un largo tiempo sin darse cuenta de su problema, no podríamos contar con ella para la gestión de crisis. Por tanto, debe- mos considerar disponer de más vías de localización, como el teléfono fijo de su oficina, el fijo o móvil particular, direc- ciones de e-mail , etc. Se podría pensar que este complejo abanico de vías de localización es in- gobernable. Desde el punto de vista de hacerlo manualmente, es absoluta- mente cierto. Sin embargo, como he- mos dicho, existen herramientas en el mercado que permiten realizar de ma- nera automatizada ciclos consecutivos de llamadas secuenciales a cada termi- nal hasta localizar a esta persona, con- firmándolo con una simple respuesta en el teléfono usando el teclado, o me- diante accesos a Internet, incluso con llamadas de respuesta. Otro punto de debilidad común suele estar en el responsable de la activación de los planes de alerta. Es sorprendente el alto número de organizaciones que depositan la responsabilidad en una sola persona y/o en un solo medio de loca- lización. A menudo, esta persona tiene además otros roles como, por ejemplo, la seguridad del acceso al centro, la co- ordinación de las actuaciones, mante- ner informados a sus responsables je- rárquicamente, etc. En estas circunstan- cias, es muy fácil imaginar que debido al llegar por medio de llamadas, e-mails , SMS, etc. También, durante el desarro- llo de la gestión, los ejecutivos realizan conferencias telefónicas de coordina- ción y seguimiento de las actuaciones. Para realizar estas comunicaciones, ¿cuántas empresas tienen más de una vía de localización? Ciertamente muy pocas. Y es que no se suele considerar la infraestructura de telecomunicacio- nes como parte crítica (y por tanto re- dundada) en sus procesos. De la misma manera que tampoco es frecuente que dispongan de más de un teléfono de lo- calización para cada miembro del plan. Es obvio que sería mucho más seguro si a cada persona que deba recibir in- formación se la pudiera tratar de loca- lizar por varias vías o redes alternativas. Sin embargo, para poner un ejemplo positivo donde esta práctica existe, en el caso de empresas de telefonía, este problema está fuertemente interiori- zado hasta el punto de que el personal crítico tiene móviles con tarjetas de va- rios operadores. Imaginemos una persona con un te- léfono móvil corporativo. Indudable- mente éste sería el canal primario de localización. Podría ocurrir que dicho teléfono no estuviese disponible tem- poralmente, en cuyo caso sería reco- mendable dejar el mismo contenido en un SMS para cuando recupere el acceso a la red. ¿Es esto suficiente? Claramente nes. La limitación aparece cuando los protocolos fallan, en general, por el fac- tor humano. Las personas, bajo presión, pueden cometer errores, así que, dada la complejidad de automatizar las lla- madas (y la no existencia de soluciones de automatización en el pasado), se ha optado en muchos casos por sustituir- las por mensajes SMS, más fácilmente automatizables. Desde un punto de vista teórico, los SMS ofrecen ventajas evidentes; pero en la práctica, no dan las garantías su- ficientes de entrega y rapidez. Es fácil que su recepción pase inadvertida o se demore, y cuando no es así, se hace di- fícil conocer a cuántas personas se ha logrado comunicar, excepto si se fuerza un acto de confirmación por el recep- tor, como una llamada. Por ello, cada vez más compañías han evolucionado hacia servicios automati- zados que no se basan en un único me- dio de comunicación sino que, inteli- gentemente, persiguen a los efectivos utilizando todos los medios disponible (móvil, fijo, SMS, email, fax, buscas, etc.) reiterando intentos hasta confirmar la participación. Ahora, a las obligaciones internas pro- pias de la gestión de la crisis hay que añadir las de cumplimiento del RDPIC y las derivadas de la alerta temprana. Es por esto que las capacidades de ges- tión de la crisis tienen que ser suficien- temente robustas antes de abordar más responsabilidades. Disponibilidad de las comunicaciones En todos los sectores se acepta con na- turalidad la necesidad de proteger la in- formación y sus sistemas; en otras pala- bras, mantener su disponibilidad. Para ello, se invierten grandes cantidades de tiempo y recursos en adoptar estrategias redundantes, en centros alternativos, así como en otros tipos de medidas de se- guridad y protección. ¿Pero tienen las co- municaciones la misma consideración? En situación de crisis, para poner en marcha los planes, se necesita transmi- tir instrucciones a diferentes grupos de personas. Éstas generalmente se hacen